本發(fā)明公開了一種面向綜合電子系統(tǒng)的輕量級入侵檢測方法，包括：特征信息提取：監(jiān)聽并收集綜合電子系統(tǒng)內(nèi)通信的數(shù)據(jù)包，提取消息特征、子系統(tǒng)特征；入侵檢測：首先根據(jù)綜合電子系統(tǒng)特點及支持的通信協(xié)議制定行為規(guī)范，并將行為規(guī)范轉(zhuǎn)換成狀態(tài)機的形式，實時監(jiān)視系統(tǒng)行為是否偏離所定義的正常規(guī)范，并用距離度量方法與概率模型相結(jié)合判定行為規(guī)范狀態(tài)機檢測的異常行為是否為一次入侵；入侵響應(yīng)：發(fā)起入侵警告，響應(yīng)并記錄入侵事件。本發(fā)明在考慮綜合電子系統(tǒng)資源受限的情況下，實現(xiàn)輕量級的入侵檢測，可有效抵抗拒絕服務(wù)攻擊和破壞完整性攻擊，如篡改數(shù)據(jù)包攻擊、偽造數(shù)據(jù)包攻擊、策反子系統(tǒng)攻擊、偽造子系統(tǒng)攻擊等。

技術(shù)領(lǐng)域

本發(fā)明屬于綜合電子系統(tǒng)信息安全技術(shù)領(lǐng)域，特別涉及一種面向綜合電子系統(tǒng)的輕量級入侵檢測方法。

背景技術(shù)

綜合電子系統(tǒng)(integrated electronic system)廣泛應(yīng)用于通信衛(wèi)星、裝甲車輛、民航飛機等。綜合電子系統(tǒng)采用計算機網(wǎng)絡(luò)技術(shù)，用數(shù)據(jù)總線將設(shè)備的各個子系統(tǒng)相連，形成分布式數(shù)據(jù)總線網(wǎng)絡(luò)。綜合電子系統(tǒng)將多種不同的功能模塊整合組成完整的系統(tǒng)。在統(tǒng)一的任務(wù)調(diào)度和管理下，完成整個設(shè)備的所有信息管理功能，實現(xiàn)信息指令資源共享。

以通信衛(wèi)星為例。綜合電子系統(tǒng)是通信衛(wèi)星的核心部件，是軍事信息站的關(guān)鍵。在軍事方面，對戰(zhàn)爭的雙方來說，信息優(yōu)勢至關(guān)重要。通信衛(wèi)星作為飛行在公共介質(zhì)中的智能裝置，具有較差的保密性。在信息技術(shù)方面的脆弱性表現(xiàn)為：信道的開放性、平臺的標準化、技術(shù)的開放性、元器件的大眾化，以及認識的局限性。

目前國內(nèi)外針對通信衛(wèi)星的防御技術(shù)表現(xiàn)為信道的抗干擾技術(shù)，包括空域處理、時域處理、頻域處理、調(diào)制域處理、編碼域處理等、指令傳輸?shù)男畔㈦[藏技術(shù)以及網(wǎng)絡(luò)系統(tǒng)的訪問控制、數(shù)據(jù)加密、防火墻等技術(shù)。針對衛(wèi)星計算機配備密碼機、密碼卡、電子密鑰注入設(shè)備、防火墻、高度安全防護裝置、在線高速網(wǎng)絡(luò)加密機等高級安全裝置。但這些防御技術(shù)不足以滿足綜合電子系統(tǒng)的安全需求。

入侵檢測作為一種動態(tài)的安全技術(shù)，可全面檢測綜合電子系統(tǒng)內(nèi)的內(nèi)部攻擊、外部攻擊及誤操作。但目前入侵檢測安全技術(shù)在衛(wèi)星的應(yīng)用僅停留在網(wǎng)絡(luò)級的入侵檢測，針對內(nèi)部系統(tǒng)級的面向綜合電子系統(tǒng)的入侵檢測技術(shù)還無人提出。

綜合電子系統(tǒng)安全關(guān)系著通信衛(wèi)星的安全、民航飛機的安全、裝甲車輛的安全等等，是國家網(wǎng)絡(luò)空間安全的關(guān)鍵。這些領(lǐng)域的入侵檢測技術(shù)僅停留在網(wǎng)絡(luò)級，不能從根本提高綜合電子系統(tǒng)的安全性。

發(fā)明內(nèi)容

本發(fā)明提出一種面向綜合電子系統(tǒng)的輕量級入侵檢測方法，該方法包括下述步驟：

步驟A1：監(jiān)聽并捕獲綜合電子系統(tǒng)內(nèi)的傳輸數(shù)據(jù)，提取綜合電子系統(tǒng)內(nèi)部行為特征信息；

步驟A2：根據(jù)綜合電子系統(tǒng)特點及所支持的總線協(xié)議制定系統(tǒng)正常的行為規(guī)范，所述正常行為規(guī)范包括：面向中央管理單元行為規(guī)范、面向總線行為規(guī)范、面向子系統(tǒng)行為規(guī)范、面向時間行為規(guī)范、面向頻率行為規(guī)范、面向數(shù)據(jù)包長度行為規(guī)范；

步驟A3：將所述正常行為規(guī)范轉(zhuǎn)換成狀態(tài)機的形式，用狀態(tài)機實時判斷所述提取的綜合電子系統(tǒng)內(nèi)部行為特征信息是否符合系統(tǒng)正常行為規(guī)范，若不符合，則說明綜合電子系統(tǒng)當前行為是異常的；

步驟A4：在行為規(guī)范狀態(tài)機檢測到綜合電子系統(tǒng)異常行為時，用距離度量方法和概率模型結(jié)合判定所述異常行為是否為一次入侵；

步驟A5：若為一次入侵行為，系統(tǒng)則進行入侵響應(yīng)，發(fā)起警告，記錄日志。

本發(fā)明提出的面向綜合電子系統(tǒng)的輕量級入侵檢測方法，所述步驟A1提取綜合電子系統(tǒng)內(nèi)部行為特征信息包括下述步驟：

步驟B1：對單個數(shù)據(jù)包特征提取，包括但不僅限于數(shù)據(jù)包的目的地址、數(shù)據(jù)包的有效長度、數(shù)據(jù)包有效字段；